Actuel / Mon compte bancaire est-il encore en sécurité?
On n’a pas de garantie sur le niveau de sécurité au niveau de l'authentification par reconnaissance vocale. Une personne malveillante pourrait tout à fait enregistrer la voix et l’utiliser. © DR
Le milieu de la télécommunication et maintenant celui des banques s’intéressent de plus en plus aux technologies biométriques. L’empreinte digitale est déjà largement utilisée pour déverrouiller nos téléphones. La reconnaissance faciale n’est pas loin derrière. Alors qu’en est-il lorsque c’est notre voix qui remplace les codes d’accès et fait office d’identification auprès de nos banques, nous permettant de changer nos informations personnelles et de faire des versements? Selon certaines estimations, en 2021, 50% des transactions financières utiliseront la biométrie. Un débat à ce sujet doit donc impérativement avoir lieu.
Tout cela commence il y a quelques semaines alors que je me retrouve en ligne avec le service client TWINT de ma banque. Après avoir composé le numéro trouvé sur internet, une première voix automatique me dit que, non seulement notre entretien téléphonique peut être enregistré – jusque-là, rien de nouveau – mais également que pour m’authentifier, mon empreinte vocale va être constituée, à moins que je renonce à ce service. Je décide de refuser. Mon authentification se fait alors avec les questions usuelles. A la fin du téléphone, je me pose pourtant un certain de nombre de questions… La reconnaissance vocale est-elle sûre? Et quelle est cette mode de nous identifier systématiquement avec des données biométriques? Qui va garder trace de cet élément si intime qu’est ma voix?
Je prends donc à nouveau mon téléphone et appelle le service de communication-média de TWINT. On rappelle: TWINT est cette application qui permet de faire des payements rapides depuis son compte bancaire au moyen de son téléphone. Ce porte-monnaie virtuel est déjà une question en soi, mais là n’est pas le propos de l’article.
On me répond, sans quelques jours de délais: non, TWINT n’utilise pas la reconnaissance vocale, ce doit être ma banque qui le fait, en l’occurrence, PostFinance. C’est elle qui gère la hotline du service et TWINT n’a rien à voir dans tout cela; la responsable ne peut donc pas m’aider. Elle n’avait d’ailleurs pas connaissance de ce procédé d’authentification vocale.
Premier étonnement pour moi: TWINT et ma banque convergent tous deux vers mon argent, mais les responsables de l’application ne connaissent pas les procédures de sécurité mises en place par leurs partenaires. Cela est inquiétant, sachant que, depuis ce Call Center, je peux notamment changer de mot de passe TWINT ou faire des versements si mon e-finance ne fonctionne pas. Mais passons ce manque de professionnalisme et arrivons-en au nœud du problème.
Rebelote, je me tourne donc vers Postfinance et pose les mêmes questions au service comm’ de la banque.
Donner nos voix au risque qu'elles soient volées
J’apprends que le système de reconnaissance vocale au Contact Center a été introduit le 16 septembre de l’année passée et que ma banque n’est pas la seule à l’utiliser. Johannes Möri de la communication PostFinance explique: «Parmi les autres entreprises qui utilisent cette technologie, on peut notamment mentionner Swisscom». Le porte-parole de cette dernière répondait à La Liberté à ce sujet: «C’est quelque chose d’unique qui accroît la sécurité et diminue le risque d’usurpation d’identité.» Johannes Möri confirme: «La reconnaissance vocale rend l’expérience client plus agréable, car il n’y a plus besoin de se soumettre aux questions de sécurité, souvent ressenties comme incommodantes. L’introduction de la reconnaissance vocale biométrique contribue à la sécurité lors de l’authentification de nos clients au Contact Center. Il est extrêmement difficile pour un tiers non autorisé de tromper le système de reconnaissance vocale.»
Le porte-parole de PostFinance se veut rassurant et explique que nos données vocales sont enregistrées au même titre que nos informations clients sur des serveurs sécurisés en Suisse et protégées «grâce à des dispositifs techniques complets». D’accord. Les utilisateurs doivent donc faire confiance à ce service de «VoicePrint» développé par une société américano-israélienne nommée NICE et qui a collaboré avec les services de la défense israéliens. (A noter que cette même entreprise a malencontreusement dévoilé des informations sensibles, dont les codes PIN, de millions d’utilisateurs de Verizon, un fournisseur de wifi et de centre de données américain en juillet 2017).
Dans ce même article de La Liberté, le spécialiste en technologies de l’information Stéphane Koch indique pourtant: «On n’a pas de garantie sur le niveau de sécurité appliqué par les entreprises. Dès lors, il existe toujours un risque de piratage du fichier vocal. Ou une personne malveillante pourrait tout à fait enregistrer la voix et l’utiliser ensuite, sans que le logiciel puisse distinguer que l’utilisateur n’est pas le détenteur de la voix enregistrée.»
Payer par selfie et ouvrir une compte d'un sourire
On apprenait par ailleurs que la semaine dernière, 770 millions d’adresses e-mail et mots de passe d’utilisateurs suisses avaient été mis en clair sur le NET. Indirectement, ces données permettent aux hackers de «dérober des informations personnelles précieuses sur leurs victimes, pour in fine s’emparer par exemple de données liées à des cartes de crédit», informait Le Temps. Si le procédé qui a mis à jour ces adresses e-mail n’est pas tout à fait le même que l’éventuel piratage de nos données biométriques, il n’en reste pas moins que l’enjeu est de taille, comme le rappelle Le Monde qui interviewait l’avocat Jérémie Courtois: «“Les conséquences sont déjà graves quand il s’agit de numéros de compte bancaire ou de carte de crédit, ce sera bien pire pour des données biométriques!” D’autant que les caractéristiques biométriques sont irrévocables, c’est-à-dire que la personne ne peut pas changer d’empreintes digitales ou d’iris [ou de voix] si ces données ont été volées ou compromises.»
Malgré ces craintes, ces nouvelles technologies d’authentification (et peut-être même de profilage selon les cas) prennent de l’ampleur dans le milieu financier. En Chine, les clients des banques peuvent déjà payer par «selfie». Plus proche, depuis février 2018 en France, la Société générale teste un système de reconnaissance faciale pour ouvrir un compte bancaire.
Si l’Union européenne a fait un pas pour protéger les données de leurs citoyens avec la RGPD (en mai dernier), la Suisse, elle, tarde à poser une législation claire. Car si la question des données biométriques était déjà un enjeu majeur lors de l’introduction du nouveau passeport, elle l’est d’autant plus aujourd’hui que l’utilisation de ces technologies s’est «démocratisée» et s’ouvre maintenant à une ribambelle d’entreprises privées qui risquent de profiter de ces nouvelles possibilités de manière désinvolte en classant la composante «sécurité» en marge de la rentabilité.
VOS RÉACTIONS SUR LE SUJET
2 Commentaires
@manini 29.01.2019 | 05h40
«Merci madame pour votre article très intéressant D’un côté nous voulons être connecté jour et nuit avec nos familles et proches et naturellement banques et fournisseurs et voulons le faire en toute sécurité ce qui est naturellement pas 100% posiible Nous devons l’accepter ou se passer de ces services Il y aura toujours un risque .... comme le risque de perdre ou de se faire voler son portemonnaie a toujours existé Encore merci et bonne journée Pierre Manini»
@Bogner Shiva 212 19.02.2019 | 17h13
«Le seul risque à prendre vraiment en compte vient des banques elles-mêmes...en effet en cas de crash général nos comptes serons instantanément bloqués sans plus aucune possibilité d'y accéder ! Et nos avoirs vont servir à éponger la énième et ultime arnaque des banksters, et c'est une loi passée dans la plus grande discrétion...ABE»